Konni’s New Arsenal: Unmasking GSRAT
in North Korea-linked APT Operation
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_9_takuma_matsumoto-yoshihiro_ishikawa_en.pdf
in North Korea-linked APT Operation
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_9_takuma_matsumoto-yoshihiro_ishikawa_en.pdf
#ParsedReport #CompletenessMedium
29-01-2026
A LinkedIn Job Offer Tried to Install Malware on My Machine
https://codecrank.ai/blog/linkedin-malware-warning/
Report completeness: Medium
Threats:
Supply_chain_technique
Victims:
Software developers, Technology sector, Job seekers
Geo:
London
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1041, T1059, T1059.007, T1071.001, T1105, T1195, T1204.002, T1546.008, T1566.002, have more...
IOCs:
File: 5
IP: 1
Hash: 1
Soft:
Node.js, SendGrid, OpenAI, Gmail
Algorithms:
base64, md5
Functions:
Get-Clipboard, eval, Function
Languages:
powershell
29-01-2026
A LinkedIn Job Offer Tried to Install Malware on My Machine
https://codecrank.ai/blog/linkedin-malware-warning/
Report completeness: Medium
Threats:
Supply_chain_technique
Victims:
Software developers, Technology sector, Job seekers
Geo:
London
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1041, T1059, T1059.007, T1071.001, T1105, T1195, T1204.002, T1546.008, T1566.002, have more...
IOCs:
File: 5
IP: 1
Hash: 1
Soft:
Node.js, SendGrid, OpenAI, Gmail
Algorithms:
base64, md5
Functions:
Get-Clipboard, eval, Function
Languages:
powershell
CodeCrank.ai
A LinkedIn Job Offer Tried to Install Malware on My Machine
A trojanized Node.js repository disguised as a $600K freelance opportunity. Full breakdown of the attack and how to protect yourself.
CTT Report Hub
#ParsedReport #CompletenessMedium 29-01-2026 A LinkedIn Job Offer Tried to Install Malware on My Machine https://codecrank.ai/blog/linkedin-malware-warning/ Report completeness: Medium Threats: Supply_chain_technique Victims: Software developers, Technology…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя атака на supply-chain была связана с мошенническим предложением работы в LinkedIn с использованием троянской программы Node.js приложение для доставки вредоносного ПО с помощью постинсталляционного скрипта. Когда жертвы запускали команду установки npm, скрипт запускал вредоносное ПО, позволяя красть учетные данные и устанавливать связи управления, используя перехваты жизненного цикла npm. Это вредоносное ПО нацелено на конфиденциальные файлы, такие как .env и .json, в конечном счете выводя данные на указанный IP-адрес, тем самым демонстрируя риски выполнения ненадежного кода.
-----
Недавний инцидент, связанный с мошенническим предложением работы в LinkedIn, продемонстрировал нацеленную атаку на supply-chain с использованием троянской программы Node.js применение. Злоумышленник создал убедительный профиль в LinkedIn, представившись менеджером филиала с многочисленными связями, но без активности, что вызвало первоначальные подозрения. Этот подход был частью более масштабной схемы заражения компьютеров потенциальных жертв вредоносным ПО.
Ключевым компонентом этой атаки был постинсталляционный скрипт, встроенный в Node.js применение. Когда жертвы выполняли команду установки npm, скрипт запускал автоматическое выполнение вредоносного ПО наряду с законными зависимостями приложения. Это вредоносное ПО использовало перехватчики жизненного цикла npm, чтобы инициировать многоэтапную операцию по краже учетных данных и установить связь по каналу управления (C2). Законный сервис был неправильно использован для размещения вредоносной полезной нагрузки, что позволило злоумышленнику обойти основные меры безопасности, сделав вредоносный трафик обычным.
Вредоносное ПО было запрограммировано на сканирование системы на наличие конфиденциальных файлов, включая такие форматы, как .env, .json и различные типы документов, и впоследствии могло загружать эти файлы на указанный IP-адрес. Инфраструктура угроз включала в себя теперь удаленный репозиторий GitLab и сервер C2, размещенный в Cloudzy, что облегчало процесс эксфильтрации данных.
Чтобы противодействовать таким угрозам, разработчикам и потенциальным жертвам важно провести тщательную проверку перед выполнением ненадежного кода. Меры предосторожности включают тщательную проверку package.json на наличие сценариев автоматического выполнения, поиск подозрительных конструкций JavaScript, таких как eval() или Function.constructor, расшифровку любых строк Base64 и оценку возраста хранилища и уровня активности. Также рекомендуется использовать инструменты искусственного интеллекта, которые могут специфически обнаруживать вредоносный код.
Кроме того, существуют более широкие "красные флажки", связанные с предложениями о работе, которые должны насторожить потенциальных кандидатов, такие как профили с многочисленными связями, но без активности, контракты, требующие предварительного выполнения кода, и срочность в сочетании с завышенными бюджетами на технические проекты. Экономика, стоящая за этими мошенничествами, часто связана с выводом несанкционированных платежей, добычей криптовалют и использованием учетных данных для дальнейших атак.
Инцидент подчеркивает важность бдительности и упреждающих мер в защите от развивающихся киберугроз. После распознавания вредоносного поведения были предприняты соответствующие действия, чтобы сообщить о проблеме, что привело к удалению опасного хранилища, подчеркивая постоянную потребность в осведомленности и технических мерах предосторожности в сфере кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя атака на supply-chain была связана с мошенническим предложением работы в LinkedIn с использованием троянской программы Node.js приложение для доставки вредоносного ПО с помощью постинсталляционного скрипта. Когда жертвы запускали команду установки npm, скрипт запускал вредоносное ПО, позволяя красть учетные данные и устанавливать связи управления, используя перехваты жизненного цикла npm. Это вредоносное ПО нацелено на конфиденциальные файлы, такие как .env и .json, в конечном счете выводя данные на указанный IP-адрес, тем самым демонстрируя риски выполнения ненадежного кода.
-----
Недавний инцидент, связанный с мошенническим предложением работы в LinkedIn, продемонстрировал нацеленную атаку на supply-chain с использованием троянской программы Node.js применение. Злоумышленник создал убедительный профиль в LinkedIn, представившись менеджером филиала с многочисленными связями, но без активности, что вызвало первоначальные подозрения. Этот подход был частью более масштабной схемы заражения компьютеров потенциальных жертв вредоносным ПО.
Ключевым компонентом этой атаки был постинсталляционный скрипт, встроенный в Node.js применение. Когда жертвы выполняли команду установки npm, скрипт запускал автоматическое выполнение вредоносного ПО наряду с законными зависимостями приложения. Это вредоносное ПО использовало перехватчики жизненного цикла npm, чтобы инициировать многоэтапную операцию по краже учетных данных и установить связь по каналу управления (C2). Законный сервис был неправильно использован для размещения вредоносной полезной нагрузки, что позволило злоумышленнику обойти основные меры безопасности, сделав вредоносный трафик обычным.
Вредоносное ПО было запрограммировано на сканирование системы на наличие конфиденциальных файлов, включая такие форматы, как .env, .json и различные типы документов, и впоследствии могло загружать эти файлы на указанный IP-адрес. Инфраструктура угроз включала в себя теперь удаленный репозиторий GitLab и сервер C2, размещенный в Cloudzy, что облегчало процесс эксфильтрации данных.
Чтобы противодействовать таким угрозам, разработчикам и потенциальным жертвам важно провести тщательную проверку перед выполнением ненадежного кода. Меры предосторожности включают тщательную проверку package.json на наличие сценариев автоматического выполнения, поиск подозрительных конструкций JavaScript, таких как eval() или Function.constructor, расшифровку любых строк Base64 и оценку возраста хранилища и уровня активности. Также рекомендуется использовать инструменты искусственного интеллекта, которые могут специфически обнаруживать вредоносный код.
Кроме того, существуют более широкие "красные флажки", связанные с предложениями о работе, которые должны насторожить потенциальных кандидатов, такие как профили с многочисленными связями, но без активности, контракты, требующие предварительного выполнения кода, и срочность в сочетании с завышенными бюджетами на технические проекты. Экономика, стоящая за этими мошенничествами, часто связана с выводом несанкционированных платежей, добычей криптовалют и использованием учетных данных для дальнейших атак.
Инцидент подчеркивает важность бдительности и упреждающих мер в защите от развивающихся киберугроз. После распознавания вредоносного поведения были предприняты соответствующие действия, чтобы сообщить о проблеме, что привело к удалению опасного хранилища, подчеркивая постоянную потребность в осведомленности и технических мерах предосторожности в сфере кибербезопасности.
#ParsedReport #CompletenessMedium
29-01-2026
Android Trojan Campaign Uses Hugging Face Hosting for RAT Payload Delivery
https://www.bitdefender.com/en-us/blog/labs/android-trojan-campaign-hugging-face-hosting-rat-payload
Report completeness: Medium
Threats:
Polymorphism_technique
Trustbastion
IOCs:
Domain: 3
File: 4
Url: 3
IP: 4
Hash: 6
Soft:
Android, Hugging Face, Google Play, Linux, WeChat
Algorithms:
gzip
29-01-2026
Android Trojan Campaign Uses Hugging Face Hosting for RAT Payload Delivery
https://www.bitdefender.com/en-us/blog/labs/android-trojan-campaign-hugging-face-hosting-rat-payload
Report completeness: Medium
Threats:
Polymorphism_technique
Trustbastion
IOCs:
Domain: 3
File: 4
Url: 3
IP: 4
Hash: 6
Soft:
Android, Hugging Face, Google Play, Linux, WeChat
Algorithms:
gzip
Bitdefender Labs
Android Trojan Campaign Uses Hugging Face Hosting for RAT Payload Delivery
Bitdefender researchers discovered an Android RAT campaign that combines social engineering, the resources of Hugging Face and permission abuse
CTT Report Hub
#ParsedReport #CompletenessMedium 29-01-2026 Android Trojan Campaign Uses Hugging Face Hosting for RAT Payload Delivery https://www.bitdefender.com/en-us/blog/labs/android-trojan-campaign-hugging-face-hosting-rat-payload Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследователи Bitdefender раскрыли вредоносную кампанию Android, использующую троянца удаленного доступа TrustBastion (RAT), который использует социальную инженерию, чтобы ввести пользователей в заблуждение и заставить их установить поддельное приложение безопасности. Этой ратификации способствует маршрутизация полезных данных через законную платформу Hugging Face, снижающую риски обнаружения. TrustBastion запрашивает обширные разрешения для устройств под видом "безопасности телефона", что позволяет ему выступать в качестве инструмента наблюдения, который отслеживает действия и передает данные на свой сервер управления по IP-адресу 154.198.48.57.
-----
Исследователи Bitdefender выявили вредоносную кампанию для Android, которая использует троян удаленного доступа (RAT), известный как TrustBastion, используя социальную инженерию и инфраструктуру Hugging Face для доставки полезной нагрузки. Первоначальное заражение происходит, когда пользователей вводят в заблуждение, заставляя загружать приложение TrustBastion, часто с помощью обманчивой рекламы, утверждающей, что их устройства заражены, и предлагающей установить поддельную платформу безопасности с привлекательными функциями.
Использование Hugging Face, легальной онлайн-платформы, позволяет злоумышленникам уклоняться от обнаружения, направляя поиск полезной нагрузки через доверенный домен. Это снижает вероятность того, что их активность будет помечена как вредоносная, поскольку трафик с доменов с низкой репутацией обычно вызывает тревогу. Исследование показало, что злоумышленники поддерживали высокие темпы генерации полезной нагрузки, при этом новые варианты создавались примерно каждые 15 минут в репозитории, в котором за период около 29 дней накопилось более 6000 коммитов.
После установки TrustBastion RAT запрашивает разрешения у критически важных устройств, Маскировка под функцию "Безопасности телефона" и указание пользователям включить службы специальных возможностей - распространенная тактика в мобильном вредоносном ПО для получения непроверенного доступа. С такими повышенными разрешениями RAT становится мощным инструментом наблюдения, способным отслеживать действия пользователей, захватывать содержимое экрана и передавать эти данные обратно на свой сервер управления (C2).
Связь с инфраструктурой C2, выявленная в ходе исследования, включала постоянное поддерживаемое соединение с IP-адресом (154.198.48.57) и доменом, связанным с trustbastion.com , работающий через порт 5000. Кроме того, вскоре после развертывания TrustBastion появилось другое приложение под названием Premium Club, использующее тот же базовый код, что и первоначальный Trojan. Эта стратегия подчеркивает стремление продлить оперативную скрытность и оставаться незамеченными в течение длительного периода времени путем создания, казалось бы, различных приложений, которые имеют схожие вредоносные функции.
Результаты этой кампании высвечивают эволюционирующую тактику, применяемую злоумышленниками, особенно при использовании надежных платформ в неблаговидных целях, что еще больше подчеркивает необходимость бдительности и надежных мер безопасности в мобильных средах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследователи Bitdefender раскрыли вредоносную кампанию Android, использующую троянца удаленного доступа TrustBastion (RAT), который использует социальную инженерию, чтобы ввести пользователей в заблуждение и заставить их установить поддельное приложение безопасности. Этой ратификации способствует маршрутизация полезных данных через законную платформу Hugging Face, снижающую риски обнаружения. TrustBastion запрашивает обширные разрешения для устройств под видом "безопасности телефона", что позволяет ему выступать в качестве инструмента наблюдения, который отслеживает действия и передает данные на свой сервер управления по IP-адресу 154.198.48.57.
-----
Исследователи Bitdefender выявили вредоносную кампанию для Android, которая использует троян удаленного доступа (RAT), известный как TrustBastion, используя социальную инженерию и инфраструктуру Hugging Face для доставки полезной нагрузки. Первоначальное заражение происходит, когда пользователей вводят в заблуждение, заставляя загружать приложение TrustBastion, часто с помощью обманчивой рекламы, утверждающей, что их устройства заражены, и предлагающей установить поддельную платформу безопасности с привлекательными функциями.
Использование Hugging Face, легальной онлайн-платформы, позволяет злоумышленникам уклоняться от обнаружения, направляя поиск полезной нагрузки через доверенный домен. Это снижает вероятность того, что их активность будет помечена как вредоносная, поскольку трафик с доменов с низкой репутацией обычно вызывает тревогу. Исследование показало, что злоумышленники поддерживали высокие темпы генерации полезной нагрузки, при этом новые варианты создавались примерно каждые 15 минут в репозитории, в котором за период около 29 дней накопилось более 6000 коммитов.
После установки TrustBastion RAT запрашивает разрешения у критически важных устройств, Маскировка под функцию "Безопасности телефона" и указание пользователям включить службы специальных возможностей - распространенная тактика в мобильном вредоносном ПО для получения непроверенного доступа. С такими повышенными разрешениями RAT становится мощным инструментом наблюдения, способным отслеживать действия пользователей, захватывать содержимое экрана и передавать эти данные обратно на свой сервер управления (C2).
Связь с инфраструктурой C2, выявленная в ходе исследования, включала постоянное поддерживаемое соединение с IP-адресом (154.198.48.57) и доменом, связанным с trustbastion.com , работающий через порт 5000. Кроме того, вскоре после развертывания TrustBastion появилось другое приложение под названием Premium Club, использующее тот же базовый код, что и первоначальный Trojan. Эта стратегия подчеркивает стремление продлить оперативную скрытность и оставаться незамеченными в течение длительного периода времени путем создания, казалось бы, различных приложений, которые имеют схожие вредоносные функции.
Результаты этой кампании высвечивают эволюционирующую тактику, применяемую злоумышленниками, особенно при использовании надежных платформ в неблаговидных целях, что еще больше подчеркивает необходимость бдительности и надежных мер безопасности в мобильных средах.
#ParsedReport #CompletenessLow
29-01-2026
Revisiting MoonBounce: Research Notes
https://malwareanalysisspace.blogspot.com/2026/01/revisiting-moonbounce-research-notes.html
Report completeness: Low
Actors/Campaigns:
Winnti
Threats:
Moonbounce
Lojax
Inline_hooking_technique
Geo:
China
TTPs:
Tactics: 1
Technics: 0
IOCs:
Hash: 2
File: 2
Algorithms:
md5, sha1
Functions:
CreateEventEx
Win API:
ExAllocatePool
29-01-2026
Revisiting MoonBounce: Research Notes
https://malwareanalysisspace.blogspot.com/2026/01/revisiting-moonbounce-research-notes.html
Report completeness: Low
Actors/Campaigns:
Winnti
Threats:
Moonbounce
Lojax
Inline_hooking_technique
Geo:
China
TTPs:
Tactics: 1
Technics: 0
IOCs:
Hash: 2
File: 2
Algorithms:
md5, sha1
Functions:
CreateEventEx
Win API:
ExAllocatePool
CTT Report Hub
#ParsedReport #CompletenessLow 29-01-2026 Revisiting MoonBounce: Research Notes https://malwareanalysisspace.blogspot.com/2026/01/revisiting-moonbounce-research-notes.html Report completeness: Low Actors/Campaigns: Winnti Threats: Moonbounce Lojax In…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
MoonBounce - это сложный имплант прошивки UEFI, связанный с APT41, позволяющий ему работать на низком уровне и выдерживать переустановку ОС, избегая обнаружения традиционным антивирусом. Он манипулирует прошивкой для выполнения вредоносных полезных нагрузок во время процесса загрузки, обеспечивая постоянный доступ к системе. Это представляет собой тревожную тенденцию в эволюции вредоносного ПО, когда злоумышленники используют имплантаты прошивки для создания устойчивых точек опоры в нацеленных сетях.
-----
Имплантат MoonBounce был идентифицирован как сложный имплантат с прошивкой UEFI, связанный с APT-группировкой APT41, также известной как Winnti. Это вредоносное ПО нацелено на Унифицированный расширяемый интерфейс прошивки (UEFI), что позволяет ему работать на низком уровне, по существу, в рамках системной прошивки. После внедрения MoonBounce способен пережить переустановку операционной системы и может оставаться незамеченным обычными антивирусными решениями.
Основной характеристикой MoonBounce является его способность манипулировать прошивкой устройства, позволяя ему выполнять вредоносную полезную нагрузку во время процесса загрузки, тем самым облегчая постоянный доступ к скомпрометированной системе. Этот UEFI-имплантат представляет значительную угрозу из-за его потенциальной возможности скомпрометировать устройства на уровне Аппаратного обеспечения.
APT41 известна своим разнообразием операций, включая шпионаж и киберпреступность, с использованием различных тактик и методов. Идентификация MoonBounce высвечивает тревожную тенденцию в эволюции вредоносного ПО, когда злоумышленники все чаще обращаются к имплантатам прошивки в качестве средства создания долгосрочных и устойчивых точек опоры в нацеленных сетях.
Исследование MoonBounce показывает его техническую сложность и необходимость для специалистов по кибербезопасности углубить свое понимание уязвимостей UEFI, поскольку традиционных мер безопасности может быть недостаточно для обнаружения этих глубоко внедренных угроз. Текущая оценка MoonBounce продолжает подчеркивать критическую важность защиты прошивки от потенциальных эксплойтов и эволюционирующей тактики, используемой при сложных целенаправленных угрозах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
MoonBounce - это сложный имплант прошивки UEFI, связанный с APT41, позволяющий ему работать на низком уровне и выдерживать переустановку ОС, избегая обнаружения традиционным антивирусом. Он манипулирует прошивкой для выполнения вредоносных полезных нагрузок во время процесса загрузки, обеспечивая постоянный доступ к системе. Это представляет собой тревожную тенденцию в эволюции вредоносного ПО, когда злоумышленники используют имплантаты прошивки для создания устойчивых точек опоры в нацеленных сетях.
-----
Имплантат MoonBounce был идентифицирован как сложный имплантат с прошивкой UEFI, связанный с APT-группировкой APT41, также известной как Winnti. Это вредоносное ПО нацелено на Унифицированный расширяемый интерфейс прошивки (UEFI), что позволяет ему работать на низком уровне, по существу, в рамках системной прошивки. После внедрения MoonBounce способен пережить переустановку операционной системы и может оставаться незамеченным обычными антивирусными решениями.
Основной характеристикой MoonBounce является его способность манипулировать прошивкой устройства, позволяя ему выполнять вредоносную полезную нагрузку во время процесса загрузки, тем самым облегчая постоянный доступ к скомпрометированной системе. Этот UEFI-имплантат представляет значительную угрозу из-за его потенциальной возможности скомпрометировать устройства на уровне Аппаратного обеспечения.
APT41 известна своим разнообразием операций, включая шпионаж и киберпреступность, с использованием различных тактик и методов. Идентификация MoonBounce высвечивает тревожную тенденцию в эволюции вредоносного ПО, когда злоумышленники все чаще обращаются к имплантатам прошивки в качестве средства создания долгосрочных и устойчивых точек опоры в нацеленных сетях.
Исследование MoonBounce показывает его техническую сложность и необходимость для специалистов по кибербезопасности углубить свое понимание уязвимостей UEFI, поскольку традиционных мер безопасности может быть недостаточно для обнаружения этих глубоко внедренных угроз. Текущая оценка MoonBounce продолжает подчеркивать критическую важность защиты прошивки от потенциальных эксплойтов и эволюционирующей тактики, используемой при сложных целенаправленных угрозах.
#ParsedReport #CompletenessMedium
29-01-2026
Dissecting UAT-8099: New persistence mechanisms and regional focus
https://blog.talosintelligence.com/uat-8099-new-persistence-mechanisms-and-regional-focus/
Report completeness: Medium
Actors/Campaigns:
Uat-8099
Webjack
Threats:
Gotohttp_tool
Badiis
Easytier_tool
Blackseo_technique
Sharp4removelog_tool
Cncrypt_protect_tool
Seo_poisoning_technique
Victims:
Iis servers
Geo:
Vietnam, Pakistan, Chinese, China, Japan, India, Asia, Thailand
ChatGPT TTPs:
T1033, T1041, T1055, T1057, T1059.001, T1059.005, T1090, T1105, T1136.001, T1190, have more...
IOCs:
File: 5
Hash: 33
Url: 27
Domain: 2
Soft:
Linux, SoftEther, OpenArk64
Algorithms:
exhibit, xor
Languages:
javascript, powershell
Links:
have more...
29-01-2026
Dissecting UAT-8099: New persistence mechanisms and regional focus
https://blog.talosintelligence.com/uat-8099-new-persistence-mechanisms-and-regional-focus/
Report completeness: Medium
Actors/Campaigns:
Uat-8099
Webjack
Threats:
Gotohttp_tool
Badiis
Easytier_tool
Blackseo_technique
Sharp4removelog_tool
Cncrypt_protect_tool
Seo_poisoning_technique
Victims:
Iis servers
Geo:
Vietnam, Pakistan, Chinese, China, Japan, India, Asia, Thailand
ChatGPT TTPs:
do not use without manual checkT1033, T1041, T1055, T1057, T1059.001, T1059.005, T1090, T1105, T1136.001, T1190, have more...
IOCs:
File: 5
Hash: 33
Url: 27
Domain: 2
Soft:
Linux, SoftEther, OpenArk64
Algorithms:
exhibit, xor
Languages:
javascript, powershell
Links:
https://github.com/c1earyy/OpenArk64have more...
Cisco Talos
Dissecting UAT-8099: New persistence mechanisms and regional focus
Cisco Talos has identified a new, regionally targeted campaign by UAT-8099 that leverages advanced persistence techniques and custom BadIIS malware variants to compromise IIS servers, particularly in Thailand and Vietnam.
CTT Report Hub
#ParsedReport #CompletenessMedium 29-01-2026 Dissecting UAT-8099: New persistence mechanisms and regional focus https://blog.talosintelligence.com/uat-8099-new-persistence-mechanisms-and-regional-focus/ Report completeness: Medium Actors/Campaigns: Uat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Cisco Talos сообщила о хакерской кАмпании UAT-8099, нацеленной на уязвимые серверы IIS в Азии, особенно в Таиланде и Вьетнаме, используя общую оперативную тактику, аналогичную предыдущей инициативе WEBJACK. UAT-8099 использует Веб-шеллы и скрипты PowerShell для развертывания инструмента удаленного доступа GotoHTTP, в то время как настроенные варианты вредоносного ПО BadIIS, включая BadIIS IISHijack и BadIIS asdSearchEngine, ориентированы на мошенничество с SEO с расширенным таргетингом. и возможности генерации контента. Атаки включают в себя разведку, закрепление через скрытые учетные записи и загрузку вредоносных скриптов для облегчения удаленного доступа и эксфильтрации данных.
-----
Cisco Talos раскрыла новую хакерскую кАмпанию, атрибутированную с злоумышленником UAT-8099, которая была активна с конца 2025 по начало 2026 года, в первую очередь нацелена на уязвимые серверы информационных служб Интернета (IIS) в Азии, с особым акцентом на Таиланд и Вьетнам. Кампания демонстрирует операционное сходство с предыдущей инициативой WEBJACK, отмеченной общими показателями компрометации, такими как хэши вредоносного ПО, инфраструктуры командования и контроля (C2) и профили жертв. Примечательно, что UAT-8099 использует Веб-шеллы и скрипты PowerShell для развертывания средства удаленного доступа GotoHTTP, предоставляя злоумышленникам широкий контроль над скомпрометированными серверами IIS. Последние версии вредоносного ПО BadIIS были адаптированы специально для нацеленных региональных жертв, включив такие функции, как жестко закодированные расширения файлов, соответствующие динамические конфигурации страниц и уникальные HTML-шаблоны.
Анализ показывает, что активность UAT-8099's достигла своего пика в период с августа 2025 года по начало 2026 года, воздействие на ряд стран за пределами Таиланда и Вьетнама, включая Индию, Пакистан и Японию. Процесс заражения, описанный Talos, начинается с команд разведки для сбора системных данных и быстро переходит к закреплению путем создания скрытой учетной записи пользователя, известной как "admin$". Впоследствии злоумышленник использует Веб-шелл для выполнения команд PowerShell, которые служат для загрузки и запуска вредоносного VBScript, предназначенного для установки инструмента GotoHTTP. Эта установка облегчает эксфильтрацию конфигурационного файла "GotoHTTP.ini", который необходим злоумышленнику для получения удаленного доступа.
Кроме того, Talos выявила два новых варианта вредоносного ПО BadIIS, нацеленных на мошенничество с SEO, известных как BadIIS IISHijack и BadIIS asdSearchEngine, оба демонстрируют передовые методы таргетинга, адаптированные для конкретных регионов. Функциональный дизайн этих вариантов включает механизмы фильтрации для определенных расширений файлов, прогнозирование пути запроса и поддержание динамического потока обработки вредоносных полезных данных. Кроме того, один вариант оснащен системой генерации контента, которая может динамически создавать веб-контент путем включения заполнителей, заполненных случайными данными, и соответствующих URL-адресов.
Также был отмечен вариант BadIIS в исполняемом формате Linux и связываемом формате (ELF), обладающий функциональностью, сходной с предыдущими версиями этого вредоносного ПО, включая режимы прокси, инжектора и SEO-мошенничества. Этот конкретный вариант был задокументирован на VirusTotal, что подтверждает гипотезу о том, что эти атаки последовательно атрибутированы с UAT-8099 из-за перекрывающихся доменов серверов C2 и других характерных признаков. Продолжающаяся эволюция вредоносного ПО BadIIS демонстрирует возможности и адаптивность UAT-8099, подчеркивая необходимость усиленных мер безопасности для смягчения этих угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Cisco Talos сообщила о хакерской кАмпании UAT-8099, нацеленной на уязвимые серверы IIS в Азии, особенно в Таиланде и Вьетнаме, используя общую оперативную тактику, аналогичную предыдущей инициативе WEBJACK. UAT-8099 использует Веб-шеллы и скрипты PowerShell для развертывания инструмента удаленного доступа GotoHTTP, в то время как настроенные варианты вредоносного ПО BadIIS, включая BadIIS IISHijack и BadIIS asdSearchEngine, ориентированы на мошенничество с SEO с расширенным таргетингом. и возможности генерации контента. Атаки включают в себя разведку, закрепление через скрытые учетные записи и загрузку вредоносных скриптов для облегчения удаленного доступа и эксфильтрации данных.
-----
Cisco Talos раскрыла новую хакерскую кАмпанию, атрибутированную с злоумышленником UAT-8099, которая была активна с конца 2025 по начало 2026 года, в первую очередь нацелена на уязвимые серверы информационных служб Интернета (IIS) в Азии, с особым акцентом на Таиланд и Вьетнам. Кампания демонстрирует операционное сходство с предыдущей инициативой WEBJACK, отмеченной общими показателями компрометации, такими как хэши вредоносного ПО, инфраструктуры командования и контроля (C2) и профили жертв. Примечательно, что UAT-8099 использует Веб-шеллы и скрипты PowerShell для развертывания средства удаленного доступа GotoHTTP, предоставляя злоумышленникам широкий контроль над скомпрометированными серверами IIS. Последние версии вредоносного ПО BadIIS были адаптированы специально для нацеленных региональных жертв, включив такие функции, как жестко закодированные расширения файлов, соответствующие динамические конфигурации страниц и уникальные HTML-шаблоны.
Анализ показывает, что активность UAT-8099's достигла своего пика в период с августа 2025 года по начало 2026 года, воздействие на ряд стран за пределами Таиланда и Вьетнама, включая Индию, Пакистан и Японию. Процесс заражения, описанный Talos, начинается с команд разведки для сбора системных данных и быстро переходит к закреплению путем создания скрытой учетной записи пользователя, известной как "admin$". Впоследствии злоумышленник использует Веб-шелл для выполнения команд PowerShell, которые служат для загрузки и запуска вредоносного VBScript, предназначенного для установки инструмента GotoHTTP. Эта установка облегчает эксфильтрацию конфигурационного файла "GotoHTTP.ini", который необходим злоумышленнику для получения удаленного доступа.
Кроме того, Talos выявила два новых варианта вредоносного ПО BadIIS, нацеленных на мошенничество с SEO, известных как BadIIS IISHijack и BadIIS asdSearchEngine, оба демонстрируют передовые методы таргетинга, адаптированные для конкретных регионов. Функциональный дизайн этих вариантов включает механизмы фильтрации для определенных расширений файлов, прогнозирование пути запроса и поддержание динамического потока обработки вредоносных полезных данных. Кроме того, один вариант оснащен системой генерации контента, которая может динамически создавать веб-контент путем включения заполнителей, заполненных случайными данными, и соответствующих URL-адресов.
Также был отмечен вариант BadIIS в исполняемом формате Linux и связываемом формате (ELF), обладающий функциональностью, сходной с предыдущими версиями этого вредоносного ПО, включая режимы прокси, инжектора и SEO-мошенничества. Этот конкретный вариант был задокументирован на VirusTotal, что подтверждает гипотезу о том, что эти атаки последовательно атрибутированы с UAT-8099 из-за перекрывающихся доменов серверов C2 и других характерных признаков. Продолжающаяся эволюция вредоносного ПО BadIIS демонстрирует возможности и адаптивность UAT-8099, подчеркивая необходимость усиленных мер безопасности для смягчения этих угроз.
#ParsedReport #CompletenessMedium
29-01-2026
LABYRINTH CHOLLIMA Evolves into Three Adversaries
https://www.crowdstrike.com/en-us/blog/labyrinth-chollima-evolves-into-three-adversaries/
Report completeness: Medium
Actors/Campaigns:
Lazarus (motivation: cyber_espionage, financially_motivated)
Golden_chollima (motivation: cyber_espionage, financially_motivated)
Pressure_chollima (motivation: cyber_espionage, financially_motivated)
Bluenoroff
Threats:
Kordll_tool
Hawup_tool
Wannacry
Dozer
Brambul
Joanap
Koredos
Nachocheese
Jeus
Pipedown
Devobrat
Anycon
Snakebaker
Nodalbaker
Tradertraitor_downloader
Scuzzyfuss
Hoplight
Fudmodule_rootkit
Hawup_rat
Volgmer
Httphoplight_tool
Undergroundrat
Neddnloader
Hiberrat
Winwebdown
Matanet
Magikcookie
Ghostship
Citriloader
Victims:
Cryptocurrency, Fintech
Industry:
Transport, Military, Financial, Logistic, Aerospace, Energy, Critical_infrastructure
Geo:
Dprk, Italian, Japanese, Korean, India, Korea, Canada, North korea, Russia
ChatGPT TTPs:
T1027, T1078, T1087, T1098, T1189, T1195, T1199, T1204, T1526, T1530, have more...
IOCs:
Hash: 33
Soft:
Outlook, macOS, Chromium, Node.js, Chrome, WhatsApp, SumatraPDF, TightVNC, GuardDuty, OpenSSL, have more...
Algorithms:
sha256, zip
Languages:
python
Platforms:
intel
29-01-2026
LABYRINTH CHOLLIMA Evolves into Three Adversaries
https://www.crowdstrike.com/en-us/blog/labyrinth-chollima-evolves-into-three-adversaries/
Report completeness: Medium
Actors/Campaigns:
Lazarus (motivation: cyber_espionage, financially_motivated)
Golden_chollima (motivation: cyber_espionage, financially_motivated)
Pressure_chollima (motivation: cyber_espionage, financially_motivated)
Bluenoroff
Threats:
Kordll_tool
Hawup_tool
Wannacry
Dozer
Brambul
Joanap
Koredos
Nachocheese
Jeus
Pipedown
Devobrat
Anycon
Snakebaker
Nodalbaker
Tradertraitor_downloader
Scuzzyfuss
Hoplight
Fudmodule_rootkit
Hawup_rat
Volgmer
Httphoplight_tool
Undergroundrat
Neddnloader
Hiberrat
Winwebdown
Matanet
Magikcookie
Ghostship
Citriloader
Victims:
Cryptocurrency, Fintech
Industry:
Transport, Military, Financial, Logistic, Aerospace, Energy, Critical_infrastructure
Geo:
Dprk, Italian, Japanese, Korean, India, Korea, Canada, North korea, Russia
ChatGPT TTPs:
do not use without manual checkT1027, T1078, T1087, T1098, T1189, T1195, T1199, T1204, T1526, T1530, have more...
IOCs:
Hash: 33
Soft:
Outlook, macOS, Chromium, Node.js, Chrome, WhatsApp, SumatraPDF, TightVNC, GuardDuty, OpenSSL, have more...
Algorithms:
sha256, zip
Languages:
python
Platforms:
intel
CrowdStrike.com
LABYRINTH CHOLLIMA Evolves into Three Adversaries | CrowdStrike
LABYRINTH CHOLLIMA has evolved into three distinct adversaries with specialized malware, objectives, and tradecraft. Learn more.
CTT Report Hub
#ParsedReport #CompletenessMedium 29-01-2026 LABYRINTH CHOLLIMA Evolves into Three Adversaries https://www.crowdstrike.com/en-us/blog/labyrinth-chollima-evolves-into-three-adversaries/ Report completeness: Medium Actors/Campaigns: Lazarus (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
LABYRINTH CHOLLIMA - северокорейский злоумышленник, развивающийся на основе фреймворка вредоносного ПО KorDLL, что приводит к расширенным операциям через специализированные группы: GOLDEN CHOLLIMA, специализирующуюся на мелкомасштабных кражах криптовалют, и PRESSURE CHOLLIMA, которая совершает крупномасштабные кражи, оцениваемые в сумму от 52 до 120 миллионов долларов. Недавно их внимание сместилось в сторону шпионажа с использованием вредоносного ПО из линейки Hoplight, при этом между подразделениями появились четкие оперативные роли, что указывает на стратегическую эволюцию их киберопераций.
-----
LABYRINTH CHOLLIMA, развивающийся злоумышленник, связанный с Северной Кореей, имеет корни в платформе вредоносного ПО KorDLL, которая действовала с 2009 по 2015 год. Этот фреймворк служил хранилищем исходного кода и привел к разработке нескольких известных семейств вредоносного ПО, таких как Dozer, Brambul, Joanap, KorDLL Bot и Koredos. В дальнейшем LABYRINTH CHOLLIMA перешла на более сложные платформы, а именно Hawup и TwoPence, что указывает на эволюцию в сторону специализированных киберопераций.
В рамках более широкого ландшафта LABYRINTH CHOLLIMA появились три различных противоборствующих подразделения: GOLDEN CHOLLIMA, PRESSURE CHOLLIMA и сама оригинальная группа LABYRINTH CHOLLIMA. GOLDEN CHOLLIMA обычно ориентирована на экономически развитые регионы со значительным участием в криптовалютной и финтех-деятельности, включая США, Канаду, Южную Корею, Индию и некоторые районы Западной Европы. Их деятельность определяется частыми кражами криптовалют небольшой стоимости, которые, вероятно, направлены на поддержание стабильного потока доходов Корейской Народно-Демократической Республики (КНДР).
Напротив, PRESSURE CHOLLIMA приобрела дурную славу за совершение громких краж криптовалют, которые могут похвастаться одними из крупнейших инцидентов в истории, с предполагаемыми потерями в размере от 52 до 120 миллионов долларов в зависимости от связанных с ними операций с криптовалютными кошельками. Эта группировка, по-видимому, специализируется на кражах значительных ценностей, а не на последовательных мелкомасштабных операциях.
Недавние события показывают, что LABYRINTH CHOLLIMA переключила свое внимание на шпионскую деятельность, используя вредоносное ПО, основанное на линейке Hoplight, начиная с 2020 года. Это изменение совпало с разделением их операционных ролей: GOLDEN и PRESSURE CHOLLIMA разделились на отдельные подразделения, вероятно, состоящие из экспертов по блокчейн-вредоносному ПО и специалистов по сбору разведывательной информации. Текущие наблюдения показывают, что эти группы действуют как независимые организационные единицы в рамках киберстратегии КНДР, опираясь на отличительные пути разработки вредоносных ПО и различные подходы к нацеливанию.
Чтобы снизить риски, связанные с этими злоумышленниками, организациям следует применять строгие протоколы проверки сообщений и обучать сотрудников быть бдительными в отношении подозрительных сообщений, особенно нежелательных сообщений о приеме на работу. Также должны существовать строгие политики безопасности для предотвращения запуска ненадежного программного обеспечения, включая проверку соответствия требованиям и проверку на наличие зависимостей с открытым исходным кодом. Кроме того, использование надежных систем мониторинга облачных сред, таких как наблюдение за журналами CloudTrail и GuardDuty, имеет важное значение для выявления действий после компрометации. Внедрение принципа наименьших привилегий для управления доступом и принудительная многофакторная аутентификация для Облачных учетных записей являются критически важными практиками для минимизации воздействия потенциальной компрометации учетных данных. Этот многогранный подход направлен на укрепление защиты от развивающихся угроз, исходящих от LABYRINTH CHOLLIMA и ее ответвлений.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
LABYRINTH CHOLLIMA - северокорейский злоумышленник, развивающийся на основе фреймворка вредоносного ПО KorDLL, что приводит к расширенным операциям через специализированные группы: GOLDEN CHOLLIMA, специализирующуюся на мелкомасштабных кражах криптовалют, и PRESSURE CHOLLIMA, которая совершает крупномасштабные кражи, оцениваемые в сумму от 52 до 120 миллионов долларов. Недавно их внимание сместилось в сторону шпионажа с использованием вредоносного ПО из линейки Hoplight, при этом между подразделениями появились четкие оперативные роли, что указывает на стратегическую эволюцию их киберопераций.
-----
LABYRINTH CHOLLIMA, развивающийся злоумышленник, связанный с Северной Кореей, имеет корни в платформе вредоносного ПО KorDLL, которая действовала с 2009 по 2015 год. Этот фреймворк служил хранилищем исходного кода и привел к разработке нескольких известных семейств вредоносного ПО, таких как Dozer, Brambul, Joanap, KorDLL Bot и Koredos. В дальнейшем LABYRINTH CHOLLIMA перешла на более сложные платформы, а именно Hawup и TwoPence, что указывает на эволюцию в сторону специализированных киберопераций.
В рамках более широкого ландшафта LABYRINTH CHOLLIMA появились три различных противоборствующих подразделения: GOLDEN CHOLLIMA, PRESSURE CHOLLIMA и сама оригинальная группа LABYRINTH CHOLLIMA. GOLDEN CHOLLIMA обычно ориентирована на экономически развитые регионы со значительным участием в криптовалютной и финтех-деятельности, включая США, Канаду, Южную Корею, Индию и некоторые районы Западной Европы. Их деятельность определяется частыми кражами криптовалют небольшой стоимости, которые, вероятно, направлены на поддержание стабильного потока доходов Корейской Народно-Демократической Республики (КНДР).
Напротив, PRESSURE CHOLLIMA приобрела дурную славу за совершение громких краж криптовалют, которые могут похвастаться одними из крупнейших инцидентов в истории, с предполагаемыми потерями в размере от 52 до 120 миллионов долларов в зависимости от связанных с ними операций с криптовалютными кошельками. Эта группировка, по-видимому, специализируется на кражах значительных ценностей, а не на последовательных мелкомасштабных операциях.
Недавние события показывают, что LABYRINTH CHOLLIMA переключила свое внимание на шпионскую деятельность, используя вредоносное ПО, основанное на линейке Hoplight, начиная с 2020 года. Это изменение совпало с разделением их операционных ролей: GOLDEN и PRESSURE CHOLLIMA разделились на отдельные подразделения, вероятно, состоящие из экспертов по блокчейн-вредоносному ПО и специалистов по сбору разведывательной информации. Текущие наблюдения показывают, что эти группы действуют как независимые организационные единицы в рамках киберстратегии КНДР, опираясь на отличительные пути разработки вредоносных ПО и различные подходы к нацеливанию.
Чтобы снизить риски, связанные с этими злоумышленниками, организациям следует применять строгие протоколы проверки сообщений и обучать сотрудников быть бдительными в отношении подозрительных сообщений, особенно нежелательных сообщений о приеме на работу. Также должны существовать строгие политики безопасности для предотвращения запуска ненадежного программного обеспечения, включая проверку соответствия требованиям и проверку на наличие зависимостей с открытым исходным кодом. Кроме того, использование надежных систем мониторинга облачных сред, таких как наблюдение за журналами CloudTrail и GuardDuty, имеет важное значение для выявления действий после компрометации. Внедрение принципа наименьших привилегий для управления доступом и принудительная многофакторная аутентификация для Облачных учетных записей являются критически важными практиками для минимизации воздействия потенциальной компрометации учетных данных. Этот многогранный подход направлен на укрепление защиты от развивающихся угроз, исходящих от LABYRINTH CHOLLIMA и ее ответвлений.
#ParsedReport #CompletenessHigh
29-01-2026
TAMECAT - Analysis of an Iranian PowerShell-Based Backdoor
https://blog.pulsedive.com/tamecat-analysis-of-an-iranian-powershell-based-backdoor/
Report completeness: High
Actors/Campaigns:
Apt42 (motivation: cyber_espionage)
Threats:
Tamecat
Powerstar
Victims:
Defense sector, Government sector, Senior officials
Industry:
Government
Geo:
Israel, Iranian
TTPs:
Tactics: 5
Technics: 13
IOCs:
Url: 3
File: 4
Domain: 1
Hash: 2
Soft:
Discord, Telegram, Microsoft Edge, Chrome, curl
Algorithms:
aes, sha1, md5, base64, sha256
Functions:
Get-Command, xs
Languages:
powershell, visual_basic
Platforms:
x64
YARA: Found
Links:
have more...
29-01-2026
TAMECAT - Analysis of an Iranian PowerShell-Based Backdoor
https://blog.pulsedive.com/tamecat-analysis-of-an-iranian-powershell-based-backdoor/
Report completeness: High
Actors/Campaigns:
Apt42 (motivation: cyber_espionage)
Threats:
Tamecat
Powerstar
Victims:
Defense sector, Government sector, Senior officials
Industry:
Government
Geo:
Israel, Iranian
TTPs:
Tactics: 5
Technics: 13
IOCs:
Url: 3
File: 4
Domain: 1
Hash: 2
Soft:
Discord, Telegram, Microsoft Edge, Chrome, curl
Algorithms:
aes, sha1, md5, base64, sha256
Functions:
Get-Command, xs
Languages:
powershell, visual_basic
Platforms:
x64
YARA: Found
Links:
have more...
https://github.com/pulsedive-research/resources/tree/main/TAMECAThttps://github.com/volexity/threat-intel/blob/main/2023/2023-06-28%20POWERSTAR/indicators/rules.yarPulsedive Blog
TAMECAT - Analysis of an Iranian PowerShell-Based Backdoor
A detailed technical analysis of TAMECAT, a PowerShell-based backdoor used by the Iranian state-sponsored APT42 in espionage operations.